网络流量分析是当前网络安全领域一个主要研究方向。通过对网络流量统计采样分析，特别是网络流量中的协议分布、地址分布、流量分布、主机安全状况等，从而得出网络运行状况的客观分析结果。随着网络速度的不断增长及网络应用的不断增多，网络监管的难度大大增加。本文研究实现一种适合高速网络环境下，对网络运行状况进行实时监测分析的系统NTAS(网络流量分析系统)。NTAS网络流量分析系统底层采用基于PF_RING网络报文捕获技术，在高速网络环境下对网络数据报文进行线速捕获，上层基于多核多线技术的基础上对采集的网络流量进行网络会话管理和协议识别。NTAS相关性能测试数据表明，NTAS网络流量分析系统具备高速网络环境下的实时分析处理的能力，有效地解决了同类系统存在的性能和协议识别率不高的问题。本文取得的主要成果与贡献概括如下：1.融合多核CPU与PF_RING的网络报文捕获技术。当前网络报文捕获技术主要采用基于操作系统提供的报文捕获技术和基于硬件FPGA网络报文捕获技术，前者在报文捕获能力上已无法满足目前高速网络环境下的需求，后者在应用上受限于特定硬件设备。鉴于上述两者的不足，本文融合多核CPU与PF_RING技术，对网络报文进行捕获，既可以不依赖于特定硬件设备，且在报文捕获性能上，优于操作系统提供的报文捕获技术。2. NTAS网络流量分析系统设计与实现。本文设计并实现了NTAS网络流量分析系统，并针对网络流量的特点，采用基于正则表达式匹配技术和构造Hash提高系统的整体性能。基于正则表示匹配技术能有效提升协议识别的准确度，提供更为确切的网络状态报告。通过对网络会话构造Hash表，能有效管理大量的网络会话，使系统适应高速的网络环境。3.高效管理大规模网络会话。网络会话管理主要用于对捕获到的网络报文进行网络会话管理，分为网络会话创建和网络会话清除。会话的清除主要完成对长时间未被再次激活的会话进行清除。在高速网络环境下，网络会话数量巨大，对系统的处理能力提出挑战，实验表明，NTAS可以有效管理大规模网络会话。4.基于多核的报文并行处理技术。网络报文处理上，传统的单核串行模式已无法满足高速网络环境下对网络流量的分析和处理。本分充分发挥当前多核平台普及的趋势，开发利用了多核并行处理优势，从而极大提升了网络报文处理能力。5.轻量级网络流量监测WEB服务。轻量级网络流量监测WEB服务具有系统资源开销小、易于扩展、人机界面友好、操作简洁、易于部署、不依赖平台等优点。